Discussion :

[nabmoah]

Bonjour ...

j'ai récement tombé sur un forum qui expliquer comment construire un code de téléchargement des fichiers avec Php ( rien de nouveau jusqu'ici ) mais une personne a attiré mon intention et surtout ma curiosité en invocant une possible faille dans le code pour ceux qui s'y connaissent pas vraiment en Php.

Voici son message :

Fais attention, si tu passes la variable du nom de fichier à télécharger, ça pourrait permettre de télécharger presque n'importe quel fichier sur ton site ou même sur le serveur. Sinon, filename=$fichier enverra le chemin complet du fichier comme si c'était son nom. Il suffit de mettre filename=".basename($fichier)); pour que seul le nom du fichier soit envoyé, sans le reste du chemin.


le code qui a été donné est le suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
$fichier = "dossier/tonfichier.ext"; 
header("Content-disposition: attachment; filename=$fichier"); 
header("Content-Type: application/force-download"); 
header("Content-Transfer-Encoding: binary"); 
header("Content-Length: ".filesize($fichier)); 
header("Pragma: no-cache"); 
header("Expires: 0"); 
readfile($fichier);

ma question est plutôt simple ... je ne comprends pas sa mise en garde conte cette faille puisque je n'ai pas compris où elle se trouvé réellement.

donc, c'est quoi réellement la faille dont il parle ? et comment l'éviter ?

Merci pour vos réponses ...
Cordialement ...

[RideKick]

L'avertissement concerne les gens qui passent le nom du fichier dans l'url ou en POST , a partir de ce moment la n'importe qui peut entrer le nom d'un fichier sur le serveur et le télécharger.

Dans ton cas aucun soucis puisque tu stipule le fichier a télécharger juste avant.

[nabmoah]

Donc si je comprends bien si l'url est du gnere :

http://www.lesite.com/telecharger.ph...on_fichier.ext

alors là c'est une faille car n'importe quel utilisateur entrera le nom d'un fichier pourra le télécharger.

ceci est en étant en mode "GET" ... mais je comprends pas lorsque vous dites en mode POST !!

[RideKick]

en POST méme principe , l'utilisateur crée un formulaire qui pointe sur le fichier PHP a exécuter et entre un nom de fichier de son choix.

[nabmoah]

oui, effectivement lol , c'est bête mais j'y ai pas refléchi ...

donc la seul solution qui s'offre à nous c'est de créer une table et de sauvegarder toute les informations des fichiers à télécharger et de les appelé par leur ID pour qu'on est l'url du genre : http://www.lesite.com/telecharger.php?id=3214 qui fait référence au fichier avec l'id 3214 ... est-ce plus sécurisant ?

Merci encore pour vos réponses

[sabotage]

Tu peux aussi purger le parametre recu en retirant les caracteres comme "/" "\" ".." etc.

[mathieu]

donc la seul solution qui s'offre à nous c'est de créer une table et de sauvegarder toute les informations des fichiers à télécharger et de les appelé par leur ID pour qu'on est l'url du genre : http://www.lesite.com/telecharger.php?id=3214 qui fait référence au fichier avec l'id 3214 ... est-ce plus sécurisant ?

oui c'est aussi une bonne méthode puisque ainsi seuls les fichiers indiqués dans la table sont téléchargables